启用备份 - AWS Control Tower
第一部分:为登录区设置备份下一部分:启用备份 OUs

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

启用备份

无论是在设置登录区期间,还是在更新登录区时,您都可以为在 AWS Control Tower 中注册的账户中的资源启用备份功能。

作为先决条件,您必须提供以下信息

  • 用作AWS Backup管理员账号的AWS 账户

  • AWS 账户将作为 Cent AWS Backup ral Backup 账户

  • 由您管理的用于跨账户备份的多区域AWS KMS密钥

如何启用备份

启用过程包括两个主要部分:首先,为登录区启用备份;然后,为每个需要备份的已注册 OU 启用备份。

第一部分:为登录区设置备份

控制台:可以在 AWS Control Tower 控制台中的登录区设置页面上为登录区设置备份。您将在最初的登录区设置操作中看到该选项,并且可以稍后通过登录区更新来重新访问它。

API:如果您已经有 AWS 控制塔着陆区 APIs,则可以通过调用 UpdateLandingZoneAPI 在 AWS Control Tower 上启用备份;如果您是首次设置 AWS Control Tower,则可以调用 CreateLandingZoneAPI 来启用备份。(提示:之后,调用 EnableBaseline API 来为您需要的每个 OU 建立备份。)

在 AWS Control Tower 控制台外部

为登录区启用备份的部分步骤包括 AWS Control Tower 控制台之外的步骤。您必须导航到AWS Backup控制台才能查看您的资源。

查看您选择加入的资源类型或其他资源类型

  1. 打开AWS Backup控制台,网址为https://console.aws.amazon.com/backup

  2. 在导航窗格中,选择设置

  3. 选择加入服务页面上,选择配置资源

  4. 使用切换开关启用或禁用要包含的服务AWS Backup。请务必选择要备份的资源,例如 RDS、、DDB 等 EC2,无论它们是否属于您的 AWS Control Tower 环境。

有关更多详细信息,请参阅选择使用管理服务AWS Backup

新资源类型的相关注意事项

在依赖AWS Backup管理任何AWS服务资源的数据保护之前,必须执行前面的步骤并选择使用该服务。AWS Backup此外,由于该AWS Backup服务将来会增加对其他服务及其资源类型的支持,因此您必须重复此过程并选择每种其他资源类型,AWS Backup然后才能在 AWS Control Tower 中备份该资源类型。标记不受支持的资源类型可能会导致备份失败。

当您为登录区激活备份时,AWS Control Tower 会分别建立您提供的两个账户作为中央备份账户和备份管理员账户。AWS Control Tower 会在这些账户和其他账户中创建资源

重要

要为 AWS Control Tower 审计日志存档账户启用备份,必须通过调用 EnableBaseline API 为安全 OU 设置备份。建议执行此操作。

建议的一组计划和保留期如下所示:

  • 每小时备份 = 在本地保管库中保留 2 周,中央备份保管库中没有副本

  • 每日备份 = 在本地保管库中保留 2 周,在中央备份保管库中保留 1 个月

  • 每周备份 = 在本地保管库中保留 1 个月,在中央保管库中保留 3 个月

  • 每月备份 = 在本地保管库中保留 3 个月,在中央备份保管库中保留 3 个月

有关如何创建备份计划的信息,请参阅使用AWS Backup控制台创建报告计划

下一部分:启用备份 OUs

AWS Backup在 landing zone 设置中启用后,您必须采取额外步骤才能在要备份 OUs 的特定区域上启用备份。如果您已启AWS Backup用 landing zone,您将在控制台的 OU 详细信息页面上看到一个部分,允许您选择 OU 启用备份。如果未在登录区级别启用备份,则在 OU 详细信息页面上看不到此部分。

要在 OU 上启用 BackupBaseline,该 OU 必须已启用 AWSControlTowerBaseline。每个 OU 中已注册的账户均已启用 AWSControlTowerBaseline

在您选择的账户中 OUs,AWS Control Tower 会设置其他资源

  • 本地备份保管库

    AWS Control Tower 会在您的账户中创建本地备份保管库,该保管库附有四种可能的备份计划。通过 AWS Control Tower 创建的备份计划带有前缀标记。

    BackupPlanTags:
        aws-control-tower: 'managed-by-control-tower'

  • 四种类型的备份计划每小时每天每周每月

    每个计划都与基于标签的资源分配相关联。例如,任何标有aws-control-tower-backuphourly :true 的资源都受每小时备份计划的保护。

  • 账户中的本地备份角色

    AWS Control Tower 创建了一个用于备份的 IAM 角色。该角色需要四种特定权限。

    "backup:UpdateGlobalSettings","organizations:RegisterDelegatedAdministrator","organizations:EnableAWSServiceAccess","organizations:DeregisterDelegatedAdministrator"

    该角色与该角色的服务主体存在信任关系。AWS Backup该角色已命名aws-controltower-backup-role,并附有以下托管权限:

为备份标记资源

在 AWS Control Tower 中设置备份的过程之一是标记您希望包含在备份计划中的资源。这些标签可指定备份的频率。下面是可能的标签。

  • aws-control-tower-backuphourly : true

  • aws-control-tower-backupdaily: true

  • aws-control-tower-backupweekly: true

  • aws-control-tower-backupmonthly: true

注意事项

  • 在 OU 上AWS Backup处于活动状态时,您会在 AWS Control Tower 控制台的 OU 详细信息页面的状态字段中看到值为 “已启用”。状态字段的其他一些可能值包括未启用进行中失败。如果您看到 “失败” 状态,请选择 “重新注册 OU”,将您的AWS Backup配置重新应用于 OU。

  • 如果您已在 OU 上AWS Backup启用,则通过 Account Factory 在该组织下配置的新账户将包括AWS Backup。